Eén kwetsbaarheid is een risico. De combinatie is een aanval

Contents

Een CISO opent zijn vulnerability rapport na de laatste scan. Zeventien kritieke bevindingen, drieënveertig hoog, honderdtwaalf medium. Elke kwetsbaarheid heeft een risicoscore en een kleurcode. Rood, oranje, geel. En bij elk item een aanbeveling.

Maar een aanvaller leest dat rapport niet. Die zoekt geen losse gaten. Die zoekt de route van het ene gat naar het volgende, tot hij bij de kroonjuwelen is.

Eén zwakke configuratie in Active Directory, gecombineerd met te ruime cloudrechten en een vergeten serviceaccount. Drie bevindingen die apart een oranje score krijgen. Samen vormen ze een pad dat leidt tot volledige toegang.

Dat verschil bepaalt of je je board een lijst geeft of een antwoord.

Kwetsbaarheden op een lijst zeggen weinig over het werkelijke risico

Vulnerability scans vinden alles. Dat is het probleem. Ze leveren honderden bevindingen op zonder onderscheid te maken tussen wat een aanvaller werkelijk kan uitbuiten en wat in theorie een risico vormt.

Pentests komen een stap verder, maar richten zich op afgebakende onderdelen. De onderlinge verbanden tussen die onderdelen worden niet getest. Niemand kijkt hoe drie losse bevindingen samen één aanvalspad vormen.

Security-teams herkennen het resultaat: een auditlijst van 250 punten, geen duidelijke volgorde, en een board dat vraagt of de organisatie veilig is.

Ondertussen vereist DORA dat financiële instellingen scenario-gebaseerde resilience tests uitvoeren. Geen afvinklijst, maar een simulatie die laat zien wat er gebeurt bij een werkelijke aanval. NIS2 verwacht van organisaties dat ze aantoonbaar kunnen maken hoe weerbaar ze zijn. Beide regelgevingen vragen om bewijs, en een lijst met bevindingen is geen bewijs.

Drie voorbeelden van combinaties die standaard scans missen:

Een verouderde Active Directory-configuratie die apart als medium scoort, maar in combinatie met te brede delegatierechten volledige domain admin oplevert.
Een vergeten serviceaccount zonder eigenaar dat via credential reuse de brug vormt tussen on-premise en cloud.
Een cloud-workload met publieke toegang die op zichzelf beperkt risico vormt, maar via laterale beweging toegang geeft tot productiedata in een andere tenant.

Elk van deze bevindingen staat ergens in een rapport. Geen enkel rapport laat zien hoe ze samenwerken.

Een aanvaller zoekt de kortste route, geen lange lijst

Een traditionele pentest beoordeelt kwetsbaarheden binnen een afgebakende scope. De tester controleert of een specifiek systeem of applicatie kwetsbaar is, rapporteert de bevindingen en sluit het rapport af. Dat levert nuttige informatie op, maar het antwoord op de vraag “hoe ver komt een aanvaller bij ons?” blijft open.

De Cyber Incident Baseline van Acora begint bij die vraag. In plaats van onderdelen apart te testen, stapt het team in de schoenen van een aanvaller. Welke paden bestaan er? Welke combinaties van kwetsbaarheden leiden tot werkelijke schade? En hoe ver kom je daarmee voordat iemand het merkt?

Die aanpak heet Attack Informs Defence. Het levert geen aannames op maar controleerbaar bewijs. Concreet genoeg om een businesscase op te bouwen en je board te laten zien wat er werkelijk op het spel staat.

“Door het Attack Informs Defence-model te implementeren, kunnen we nu aantoonbaar een helder en geprioriteerd beeld geven van de potentiële aanvalsroutes. Dat heeft ons inzicht in onze cyberweerbaarheid aanzienlijk verbeterd.”
Manager, hospitality-organisatie met 2.000 gebruikers

Van 250 bevindingen naar de tien die ertoe doen

De nulmeting bestaat uit vier stappen die samen een compleet beeld opleveren:

Audit: de lijst van 250 bevindingen wordt teruggebracht tot de tien die op basis van werkelijke aanvalsbaarheid het meest urgent zijn.
Test: via handmatige en geautomatiseerde technieken worden kwetsbaarheden gecombineerd tot de aanvalspaden die een aanvaller zou gebruiken.
Prioriteer: met kennis van het actuele dreigingsbeeld wordt een kader aangebracht dat de meest kritieke risico’s identificeert.
Bouw: het resultaat is een volledige nulmeting met een langetermijnplan en een crisismanagement-oplossing.

Drie gebieden waar losse kwetsbaarheden samen gevaarlijk worden

De nulmeting richt zich op de plekken waar combinaties het vaakst ontstaan:

Active Directory: 78% van alle beveiligingsinbreuken begint met misbruik van AD. In samenwerking met Silverfort brengt Acora identiteitshygiëne, verouderde configuraties en delegatierisico’s in kaart. Denk aan accounts met rechten die jaren geleden zijn toegekend en nooit zijn ingetrokken.
Cloud: samen met Wiz worden laterale bewegingen, verkeerde configuraties en risico’s binnen de toeleveringsketen zichtbaar gemaakt in AWS- en Azure-omgevingen. Misconfiguraties die tussen twee cloudplatformen vallen en door geen enkele losse scanner worden opgepikt, worden zo zichtbaar.
Endpoint en netwerk: via endpoint-data worden configuraties, gedragspatronen en basisveiligheid beoordeeld. De resultaten laten direct zien welke apparaten en systemen een aanvaller als eerste zou gebruiken.

Samen vormen deze drie gebieden het terrein waar een aanvaller zijn route plant. De nulmeting laat zien welke routes open staan.

Een nulmeting die je board, je auditor en je team verder helpt

Het eindresultaat is een geprioriteerde lijst op basis van bewijs. Het plan laat zien welke tien kwetsbaarheden als eerste moeten worden opgelost en waarom. Daarnaast krijg je een langetermijnplan dat richting geeft aan je security-investeringen. En je kunt je board en je toezichthouder laten zien wat er zou gebeuren bij een aanval, onderbouwd met data uit je eigen organisatie.

Acora heeft meer dan 450 incidentopdrachten en 60 offensieve tests uitgevoerd in ruim tien jaar. Die ervaring bepaalt waar beperkte middelen het meeste opleveren. De nulmeting wordt uitgevoerd door CREST-erkende specialisten.

Wil je meer weten over de Cyber Incident Baseline and Readiness check? Plan een gesprek met ons in via netherlands@acora.com of via acora.com/nl/contact.

Webinar: Hoe AI jouw grootste beveiligingsrisico én oplossing wordt in 2026

Op 24 maart organiseert Acora een webinar met gastsprekers Leon Smit van Acora en Hans Goedhart van Het Nederlandse Rode Kruis.

Ze gaan samen in gesprek over hoe cybercriminelen AI inzetten tegen organisaties, en hoe bedrijven AI juist als wapen kunnen gebruiken in hun security-strategie.

Cloudmigratie is voor financiële instellingen geen experiment meer. De druk wél. DORA, NIS2 en steeds scherper toezicht dwingen je om elke keuze voor de publieke cloud direct audit-proof te maken. CIO’s en CISO’s stellen me steeds vaker dezelfde vraag: “Waar...

Explore Resource

Eén kwetsbaarheid is een risico. De combinatie is een aanval

Kwetsbaarheden op een lijst zeggen weinig over het werkelijke risico

Een aanvaller zoekt de kortste route, geen lange lijst

Van 250 bevindingen naar de tien die ertoe doen

Drie gebieden waar losse kwetsbaarheden samen gevaarlijk worden

Een nulmeting die je board, je auditor en je team verder helpt

Webinar: Hoe AI jouw grootste beveiligingsrisico én oplossing wordt in 2026

Insights by Leon Smit

De staat van Cybersecurity: inzichten en verwachtingen voor het komende jaar

Je board vraagt naar cloud-risico en jij hebt geen antwoord

Aanvallers breken niet meer binnen, ze loggen gewoon in

Alles bleef draaien terwijl de aanval al meebewoog door de keten

Aanvallen dringen nu binnen via builds, tokens en updates die altijd op groen staan

De nieuwe frontlinie van cyberaanvallen ligt in je softwareketen

Hoe fake OAuth-apps de achterdeur naar je Microsoft 365 openen

Van 10 securitytools naar 1 public-cloud platform

AI-Pentesting: hoe honderden aanvalsscenario’s in minuten worden getest

Onzichtbare Cloud-lekken: 5 veelvoorkomende misconfiguraties binnen financiële instellingen